2022年6月23日に尼崎市で46万人の住民基本台帳情報が入ったUSBメモリの紛失インシデントが発生しました。
業務委託を受けたBIPROGY社(旧 日本ユニシス社)がデータ移管作業のためとして持ち出していたUSBメモリ2つ(1つはバックアップ用)です。
インシデントの詳細はpiyokango氏がまとめてくださっていますので、こちらのリンクをご参照ください。
piyokango氏のpiolog:全市民の個人情報を保存したUSBメモリ紛失についてまとめてみた
今回のコラムでは、人的セキュリティの観点から3つのポイントを考察します。
規程とマニュアル
セキュリティ対策の運用体系としては、トップにセキュリティポリシーがあり、セキュリティポリシーの取り組みのためにセキュリティ関連規程があります。
セキュリティ規程を実際の業務で運用するために具体的な手順を記したものが手順書(マニュアル)となります。
このピラミッド構造を理解していないと、自分の目の前にある情報が機密性のあるものかどうかどうかの判断ができにくいですし、どのように扱えばよいのかがわかりません。
研修会やトレーニングなどで組織内の全員に周知しておく必要があります。
今回のインシデントは、周知徹底ができていなかったことによる業務の効率化や簡便性を優先した結果となります。
運用確認
セキュリティポリシー、関連規程、マニュアルがあったとしても守れていなかったら本末転倒です。
ルールが守れているか、定期的なチェックが必要です。そして、業務変更があればルールを変えなければならなりません。
ルールを作ることが目標になってしまいがちですが、ルールを守ってもらうしくみや守れなかった時の対策はさらに重要です。
今回のインシデントは、情報を取り扱うすべての関係者、つまり組織内だけでなく委託先についても対象としたルール運用確認のずさんさも原因の一つです。
委託先管理
情報の取り扱いは自組織にとどまることはありません。
ビジネスはサプライチェーンで成り立っていますので、取り扱う情報は委託元から委託先に流れていきます。
ここで大切なのは、委託先の管理責任は委託元にあるということです。
情報の機密性によって委託先を選択しなければなりませんし、委託後の運用確認、インシデント発生時の対応などが必要になります。
今回のインシデントでは、尼崎市が業務委託したBIPROGY社からさらにアイフロント社に委託され、さらにもう一社に委託されるという構造でした。
最終委託企業だけの問題ではありません。情報を取り扱うすべての関係者に管理責任があったのです。
さいごに
セキュリティ対策は技術的(テクニック)にウィルス対策ソフトや、EDR、UTMの構築を優先しがちですが、同時に人的(マネジメント)にルールづくりや運用・監査などの対策も重要なのです。
なぜなら、最強の脆弱性は人間だからです。
結論:セキュリティ対策はテクニックとマネジメントの両輪!
プラスエス(+S)はお客様にさまざまな”S”を提供します。
Satisfaction、Solution、System、Support、Security、Smile & Sun